Configuração SSL do servidor para parar avisos e erros

Navegue suas respostas
1

Acabei de configurar o SSL no domínio principal na configuração do whm / cpanel, o domínio tem seu próprio ip e está funcionando corretamente.

No entanto, ao navegar no site no Chrome, recebo o seguinte:

Your connection to example.com is encrypted with 256-bit encryption. However, this page includes other resources which are not secure. These resources can be viewed by others while in transite and can be modified by an attacker to change the behaviour of the page.

The connection uses SSL 3.0.

The connection is encrypted using AES_256_CBC, with SHA1 for message authentication and DHE_RSA as the key exchange mechanism.

The connection is not compressed.

The connection had to be retried using SSL 3.0. This usually means that the server is using very old software and may have other security issues.

Eu verifiquei o WHM > Configuração do servidor > Configuração do Apache > Configuração Global

e o SSL Cipher Suite está definido da seguinte maneira, conforme recomendado: 

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP:!kEDH PCI recommended

Eu também tenho o seguinte relatório SSL: link

Também recebo este erro ao exibir um arquivo html em branco com apenas um título, para que ele não seja de includes de fontes externas. 

<!DOCTYPE HTML>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Test Secure</title>
</head>

<body>
<h1>Test Secure</h1>
</body>
</html>

Eu verifiquei o software do servidor e ele está usando o openSSL 0.9.8e, isso poderia ser um fator?

O que estou fazendo errado? Há mais configurações que ajudariam a diagnosticar o problema?

    
por Dan 14.01.2012 / 16:17

3 respostas

0

O seguinte em httpd.conf parou todos os erros: 

SSLProtocol -SSLv2 +SSLv3 +TLSv1
SSLCipherSuite !NULL:!ADH:!EXP:!LOW:SSLv3:+HIGH:+MEDIUM
    
por 15.01.2012 / 16:19
3

However, this page includes other resources which are not secure. These resources can be viewed by others while in transite and can be modified by an attacker to change the behaviour of the page.

Abra o painel Ferramentas do desenvolvedor no Chrome (Visualizar - > Desenvolvedor) e vá para a guia "Rede". Ele listará tudo o que está carregando. Além disso, clique nos ícones de avisos / erros no canto inferior direito. Eles abrirão a lista de erros, incluindo mensagens como:

  • A página em ... exibiu conteúdo inseguro de http: // ...
  • Tentativa de JavaScript inseguro para acessar o frame com URL link do frame com URL http: // .... Domínios, protocolos e portas devem corresponder

Provavelmente, ele virá de frames e conteúdos incorporados de anúncios. Depois de encontrar os recursos "ofensivos" na lista na guia "Rede", a coluna "Iniciador" deve fornecer uma pista sobre o que está sendo carregado.

The connection had to be retried using SSL 3.0. This usually means that the server is using very old software and may have other security issues.

Verifique se você tem isso (além da diretiva SSLCipherSuite ): 

SSLProtocol all -SSLv2
    
por 15.01.2012 / 01:49
2

Para evitar esse aviso, todos os elementos incluídos (imagens, arquivos, etc.) devem usar conexões HTTPS. Veja a fonte da página e procure por http: // - ok em links para outras páginas ( <a href="... ) mas não para arquivos ( <img src="... , etc.)

    
por 14.01.2012 / 17:12

Tags

Como controlar sua própria conexão com a internet? [fechadas] Existe um dispositivo de captura de vídeo para o vídeo IRIX & Sparc? [fechadas]